เจาะพฤติกรรม ประเภท วิธีการโจมตี วิธีป้องกัน ของ Ransomware (มัลแวร์เรียกค่าไถ่)

22 ธันวาคม 2023

IT Security

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

หลายปีที่ผ่านมาอัตราการโจมตีทางไซเบอร์ทั่วโลกยังคงเพิ่มขึ้นอย่างต่อเนื่อง สาเหตุส่วนใหญ่มักเกิดจากพฤติกรรมของผู้ใช้ภายในองค์กรที่ใช้งานอินเทอร์เน็ตขององค์กรไม่ระมัดระวังและไม่มีความรู้ด้านการป้องกันระบบไอทีที่ดีพอ ทำให้องค์กรตกเป็นเหยื่อโดยไม่รู้ตัว ซึ่งการโจมตีทางไซเบอร์นั้น ส่งผลกระทบต่อการบริหารงาน ระบบต่าง ๆ ภายในองค์กร รวมถึงค่าใช้จ่ายที่สูญเสียอย่างไม่สามารถประเมินได้ และภัยที่ถือว่าเป็นอันตรายอันดับต้น ๆ ของความรุนแรง นั่นคือ Ransomware (มัลแวร์เรียกค่าไถ่) นั่นเอง ด้วยเหตุนี้การเข้าใจมัลแวร์ชนิดนี้ให้มากขึ้นในด้านของพฤติกรรม ประเภท วิธีการโจมตี วิธีป้องกัน หรือแม้กระทั่งการแก้ปัญหาเมื่อโดน Ransomware แล้ว ก็จะช่วยลดความรุนแรงที่จะเกิดได้ หรือแม้กระทั่งสามารถช่วยในการป้องกันการถูกโจมตีได้นั่นเอง

Ransomware(มัลแวร์เรียกค่าไถ่) คืออะไร

Ransomware เป็นมัลแวร์ประเภทหนึ่งที่มุ่งขโมยและเข้ารหัสไฟล์ข้อมูลที่มีความละเอียดอ่อน หรือ ข้อมูลส่วนบุคคล (PII) และล็อคไฟล์ไม่ให้ผู้ที่ตกเป็นเหยื่อเข้าถึงไฟล์ได้จนกว่าจะจ่ายเงินค่าไถ่ ซึ่งสาเหตุหลักของการโดน Ransomware ส่วนใหญ่จะมาจากการดาวน์โหลดไฟลที่ไม่น่าเชื่อถือ ไม่มีแหล่งที่มาผ่านทางอีเมล เมื่อเหยื่อดาวน์โหลดและเปิดไฟล์ที่แนบมาแล้ว ผู้โจมตีก็สามารถเข้าครอบครองคอมพิวเตอร์ของเหยื่อได้เลย หรือแม้กระทั่งใช้เครื่องมือ Social engineering หลอกลวงเหยื่อเพื่อจะได้เข้าถึงระบบในสิทธิระดับ Admin ได้

และอีกรูปแบบหนึ่ง นั่นคือการใช้ประโยชน์จากช่องโหว่ของระบบ  ( เช่น NotPetya  Ransomware) โดยจะเข้าโจมตีผ่านทางช่องโหว่ระบบไอทีองค์กร หากไม่มีคีย์ถอดรหัส ก็แทบจะเป็นไปไม่ได้เลยที่จะสามารถกู้คืนข้อมูลกลับมาได้

ลักษณะการโจมตี Ransomware ประเภทต่าง ๆ

ลักษณะการโจมตีของ Ransomware แบ่งออกได้ 4 ประเภท ดังนี้

  1. Crypto/Encryptors
    Encryptors เป็น Ransomware ประเภทที่พบบ่อยที่สุด โดยเข้ารหัสข้อมูลเป้าหมายทั้งหมดและต้องใช้คีย์ถอดรหัสเพื่อปลดล็อค
  2. Locker
    คือจะทำการล็อคการใช้อุปกรณ์ทั้งหมด ทำให้ไม่สามารถใช้งานได้ โดยทั่วไปจะขึ้นหน้าจอล็อคและแสดงรายละเอียดของการเรียกค่าไถ่พร้อมตัวจับเวลาเพื่อสร้างความเร่งด่วน
  3. Scareware
    Scareware หรือ โปรแกรมแสกนไวรัส  เพื่อแก้ปัญหาการโจมตีทางคอมพิวเตอร์  โดยมักมีการแจ้งเตือนว่าพบไวรัสในเครื่องคอมพิวเตอร์ ทำให้ผู้ใช้หลงเชื่อจนให้ข้อมูลบัตรเครดิต ซื้อหรือ ดาวน์โหลดซอฟแวร์ เพื่อกำจัดไวรัสนั้น
  4. Doxware/Leakware
    Doxware มักจะพยายามหลอกลวงผู้ใช้หรือบริษัทให้ชำระเงินโดยขู่ว่าจะเปิดเผยข้อมูลที่ละเอียดอ่อนทางออนไลน์ เช่น ไฟล์ที่เป็นความลับหรือทรัพย์สินทางปัญญา

สาเหตุที่ตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่

1. Phishing email

ในรายงานแนวโน้มภัยคุกคามทางไซเบอร์ปี 2021 ของ Cisco พบว่า การโจมตีแบบ Phishing เป็นสาเหตุอันดับต้น ๆ ของการติด Ransomware คิดเป็นประมาณ 90% ของการละเมิดข้อมูล ที่ประสบความสำเร็จทั้งหมด ซึ่งนำไปสู่ความเสียหายมูลค่าหลายพันล้านดอลลาร์ โดยสาเหตุที่โดน Phishing Email เบื้องต้นมี 2 วิธี คือ

  • การเปิดหรือดาวน์โหลดไฟล์แนบอีเมลที่เป็นอันตราย (PDF, แอปพลิเคชัน .exe, เอกสาร Word, ไฟล์ .zip และอื่นๆ)
  • การคลิกลิงก์ที่ติดไวรัสซึ่งนำไปสู่เว็บไซต์ที่เป็นอันตราย (ทำให้ติดสปายแวร์ โทรจัน คีย์ล็อกเกอร์)

เมื่อเร็วๆ นี้ ฟิชชิ่งรูปแบบหนึ่งได้ปรากฏตัวขึ้น เรียกว่า “สมิชชิ่ง” Smishing เกี่ยวข้องกับนักต้มตุ๋น (แก๊ง Call center) ที่พยายามหลอกให้เหยื่อเปิดเผยข้อมูลส่วนบุคคลผ่านชุดข้อความ SMS หรือ Messaging ประเภทอื่น ๆ

โดยทั่วไปข้อความอัตโนมัติเหล่านี้จะมีรูปภาพหรือลิงก์ที่จะนำเหยื่อไปยังเว็บไซต์เพื่อป้อนข้อมูลที่ละเอียดอ่อนหรือดาวน์โหลดไฟล์มัลแวร์โดยตรงไปยังโทรศัพท์ของเหยื่อ

2. หน้าเว็บที่ติดไวรัส

ส่วนใหญ่เกิดจากผู้ใช้งานเข้าเว็บไซต์ที่ไม่ปลอดภัย โดยเว็บไซต์เหล่านี้มักจะมีไวรัสที่ใช้เพื่อกระจายมัลแวร์เรียกค่าไถ่ หากเผลอกดลิงก์ใดลิงก์หนึ่ง ไม่ว่าจะผ่านทางอีเมลหรือเว็บไซต์ที่ไม่ได้รับการยืนยัน จะทำการดาวน์โหลดแรนซัมแวร์โดยอัตโนมัติไปยังฮาร์ดไดรฟ์เครื่องคอมพิวเตอร์ของผู้ใช้งานหรือที่เรียกว่า “drive-by download” แค่เพียงเข้าเว็บไซต์โดยไม่ได้ดาวน์โหลดอะไรเลยก็อาจนำไปสู่การโจมตีของแรนซัมแวร์ได้

หรือ เว็บไซต์หลอกลวงหลายแห่งที่เลียนแบบเว็บไซต์ URL ทางการ แต่จะมีพยัญชนะบางตัวที่สะกดผิด หากตรวจสอบไม่ถี่ถ้วน ก็อาจตกเป็นเหยื่อได้

3. มัลแวร์โฆษณา/แอดแวร์

มัลแวร์โฆษณาเป็นมัลแวร์รูปแบบหนึ่งที่อยู่ในเว็บไซต์ทั่วไป ไม่เว้นแต่เว็บไซต์ทางการก็มีเช่นกัน โดยจะเป็นลักษณะแบนเนอร์ คล้ายแบนเนอร์ทั่วไป แต่แอบแฝงการดาวน์โหลด Rasomware หากคลิกก็จะติดทันที เช่นเดียวกับเว็บไซต์ที่เป็นอันตราย มักจะมีมัลแวร์โฆษณาเชื่อมโยงกับ exploit kit ซึ่งจะสแกนระบบผู้ใช้เพื่อหาช่องโหว่และติดตั้งโค้ดที่เป็นอันตราย

ตัวอย่างของมัลแวร์โฆษณา – แหล่งที่มา: sectigostore

4. การโจมตีผ่านโปรโตคอลเดสก์ท็อประยะไกล (RDP)

Remote Desktop Connection (RDP) เป็น Feature ที่นิยมใช้บนระบบปฏิบัติการ Microsoft Windows ซึ่งช่วยให้ผู้ใช้สามารถเชื่อมต่อกับเครือข่ายหรือเซิร์ฟเวอร์อื่นจากระยะไกลได้ ลักษณะการโจมตี RDP คือเมื่อแฮกเกอร์แทรกซึมเข้าไปในระบบ พยายามขโมยข้อมูลหรือติดตั้ง Ransomware เมื่ออยู่ภายในเครือข่ายหรือระบบแล้ว พวกเขาสามารถลบข้อมูล และดาวน์โหลดมัลแวร์ลงมาที่เครื่องได้เป้าหมายหลักได้แก่ ผู้ใช้งานที่มีการป้องกันด้วยรหัสผ่านที่คาดเดาง่าย หรือ มีระบบรักษาความปลอดภัยของอุปกรณ์ปลายทางและเครือข่ายที่ไม่ปลอดภัย เนื่องจากกว่า 90% ของทั่วโลกใช้ Microsoft Windows จึงมีโอกาสสูงที่อาชญากรจะขโมยข้อมูลได้ โดยเฉพาะจากธุรกิจขนาดเล็ก

5.Social engineering

วิศวกรรมสังคม (Social Engineering) เป็นศิลปะในการหลอกลวง ล่อหลอกผู้อื่น ใช้หลักการพื้นฐานทางจิตวิทยาให้เหยื่อเปิดเผยข้อมูล เพื่อให้ได้ผลประโยชน์ตามที่แฮกเกอร์ต้องการโดยอาศัยความรู้เท่าไม่ถึงการณ์ ความไม่รู้ ความประมาท ซึ่งการโจมตีนี้จะได้ผลดีมากเมื่อเทียบกับการโจมตีทางไซเบอร์ลักษณะอื่น ๆ โดยเฉพาะกับคนที่ไม่มีความรู้ทางด้านไอทีหรือความปลอดภัยทางไซเบอร์

วิธีป้องกันการโจมตี Ransomware ในปี 2023

แม้ว่าการโจมตีด้วย Ransomware จะเพิ่มจำนวนมากขึ้น แต่ก็มีวิธีในการป้องกันด้วยเช่นกัน โดยมี 8 วิธีดังนี้

1. สำรองข้อมูล

ควรสำรองข้อมูลที่สำคัญที่สุดของไว้ในฮาร์ดไดรฟ์ภายนอกหรือเซิร์ฟเวอร์คลาวด์ เสมอ ปฏิบัติตามกฎ 3-2-1 คือ เก็บสำเนาข้อมูล 3 ชุดแยกกัน บนพื้นที่จัดเก็บข้อมูล 2 ประเภทที่แตกต่างกัน และเก็บสำเนา 1 ชุดไว้ที่ใดที่หนึ่งแบบออฟไลน์

2. อัปเดตระบบและแอปพลิเคชันอยู่เสมอ

หนึ่งในสาเหตุที่ใหญ่ที่สุดที่ผู้ใช้งานและธุรกิจ มักติด Ransomware ก็คือ การใช้ระบบหรือแอปพลิเคชันที่ล้าสมัย บางครั้งอาจมีช่องโหว่ที่ไม่ได้รับการอัปเดตแล้ว ทำให้แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่ได้

3. ติดตั้งซอฟต์แวร์ป้องกันไวรัสและ Firewall

ซอฟต์แวร์ป้องกันไวรัสและมัลแวร์เป็นวิธีง่าย ๆ ที่ผู้ใช้ทั่วไป ใช้เพื่อป้องกันภัยคุกคามทางไซเบอร์ ซึ่งจะมีเทคโนโลยีการป้องกัน Phishing และ Ransomware ได้ และสามารถตอบสนองต่อภัยคุกคามแบบเรียลไทม์บนคอมพิวเตอร์ที่ติดไวรัส หรือการใช้ Firewall ก็มีความสำคัญเช่นกัน เพราะจะเป็นด่านแรกในการป้องกันการโจมตีจากภายนอก

4. รักษาความปลอดภัยอุปกรณ์ปลายทางทั้งหมด

อุปกรณ์ปลายทางมีความสำคัญอย่างยิ่งในการรักษาความปลอดภัย เนื่องจากอุปกรณ์ปลายทางที่มีช่องโหว่เพียงจุดเดียวอาจทำให้เครือข่ายทั้งหมดติดไวรัสได้

5. การแบ่งส่วนเครือข่าย (Network Segmentation)

เทคนิคหนึ่งในการป้องกันการโจมตีทางไซเบอร์คือการใช้การแบ่งส่วนเครือข่าย ซึ่งบริษัทขนาดใหญ่หลายแห่ง ทำการแยกเครือข่ายออกจากกันเพื่อจำกัดการแพร่กระจายของ Ransomware

6. หลักการกำหนดสิทธิ์เข้าถึงข้อมูลและโมเดล Zero-trust

 ควรมีการกำหนดสิทธิ์ของผู้ใช้งานในการเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต หรือใช้โมเดล Zero-Trust (Never trust, Always verify ) นั่นคือ ไม่ว่าบุคคลใดก็แล้วแต่ ที่ต้องการเข้าสู่ระบบข้อมูลที่ละเอียดอ่อน ต้องมีการตรวจสอบเสมอ

7. ควรการทดสอบความปลอดภัยเป็นประจำ

เนื่องจากการโจมตีทางไซเบอร์มีการเปลี่ยนแปลงตลอดเวลา จึงควรทำการทดสอบมาตรการรักษาความปลอดภัย เพื่อตรวจสอบว่าระบบป้องกันที่ใช้อยู่มีความปลอดภัยมากน้อยแค่ไหน ซึ่งบริษัทต่างๆ มักจะจ้างผู้ทดสอบการเจาะระบบเพื่อค้นหาช่องโหว่ มาทำการ Pentest ระบบขององค์กรตัวเอง เพื่อที่หากเจอจุดอ่อน จะได้สามารถแก้ไขได้อย่างรวดเร็ว

8. การฝึกอบรมความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์

การให้พนักงานมีความตระหนักรู้ด้านความปลอดภัยไซเบอร์ขั้นพื้นฐาน เช่น การสร้างรหัสผ่านที่ปลอดภัย จดจำไฟล์แนบที่เป็นอันตรายในอีเมล หรือไม่ส่งข้อมูลที่เป็นความลับผ่าน Wi-Fi สาธารณะ และอื่น ๆ ที่จะช่วยให้ผู้ใช้ปลอดภัย ฯลฯ  เพื่อที่จะได้ช่วยป้องกันระบบไอทีขององค์กรให้ปลอดภัยมากขึ้น

แล้วหากติด Rasnsomware จะทำอย่างไร

กรณีที่ถูกโจมตีจาก Ransomware แล้ว ควรทำตามขั้นตอนดังนี้

  • อย่าจ่ายค่าไถ่ การจ่ายเงินสนับสนุนให้อาชญากรทำงานต่อไป
  • รายงานการโจมตีไปยังหน่วยงานบังคับใช้กฎหมายที่เหมาะสมเช่น สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)
  • ตัดการเชื่อมต่ออุปกรณ์หรือคอมพิวเตอร์ของคุณจาก Network , Wi-Fi หรือ Bluetooth ทั้งหมดทันที
  • ระบุจุดเริ่มต้นของการโดน Ransomware
  • แจ้งเตือนบริษัทและผู้ใช้รายอื่นในเครือข่ายเดียวกัน
  • ทำการลบข้อมูล ลงระบบปฏิบัติการ (OS) ใหม่ และนำข้อมูล backup มาใช้
  • ใช้เครื่องมือถอดรหัสแรนซัมแวร์ (ถ้ามี)

จะเห็นได้ว่า การถูก Ransomware โจมตีง่ายมาก แต่ยังพอมีวิธีป้องกันการโดนโจมตีได้ ในฐานะผู้ดูแลระบบ และผู้ใช้งาน ต้องมีการป้องกันพื้นฐานที่ควรเรียนรู้ไว้ เพื่อจะได้ป้องกันทั้งอุปกรณ์ของตัวเองและองค์กรได้  หรือหากต้องการปรึกษาเกี่ยวกับการป้องกันระบบไอที สามารถติดต่อสอบถามเพิ่มเติมได้ที่ https://www.cyfence.com/contact-us/  หรือโทร 1888

ที่มา : upguard

Share

ปรึกษาเรา

บทความที่เกี่ยวข้อง